Vlákno názorů k článku VoIP podvody: úvod do anatomie útoků, které vás můžou stát stovky tisíc korun od Petr Soukup - Podle mne hlavní chyba je už v návrhu...
-
Podle mne hlavní chyba je už v návrhu SIP a její implementace. Není dobré odpovídat útočníkovi na options a jiné SIP nesmysly, aby si tak snadno mohl najít kořist na celém internetu. Když už ví, že na vaší IP běží něco se SIPem, tak pak už proskenuje úplně vše. Správně aby SIP ústředna odpověděla na dotaz k hovoru nebo registraci, je třeba znát správné existující jméno na onom serveru. Jinak je lepší se vůbec nebavit.
Volání na SIP uri téměř žádný VoIP operátor nepodporuje a pokud ano, může se bavit jen s tím, kdo zná správně číslo/id volaného. Takže také to není problém.
Stejně tak nemá žádný smysl, aby bylo dovoleno hádat hesla hrubou silou. Omezení počtu pokusů kdy se zkouší různá hesla mělo být už v samotném protokolu. Pravda když si zvolím hodně náročné heslo, nikdy jej nejspíš neuhádne, ale i tak mne zatíží, zaplní logy a nadělá zbytečný síťový provoz do zahraničí.Vždy mne udivuje jak experti radí si volit hodně obskurní hesla (která ještě vyžadují často měnit), ale to že je mnohem efektivnější omezit počet pokusů tyto experty nenapadne.
Dále je potřeba ještě zabezpečit webové stránky ústředny a VoIP telefonu. To je v posledních letech největší zdroj hesel pro útočníky. Pokud nejdou SIP hesla přímo vytáhnout z webových stránek, telefon je možné na drahá čísla pomocí webu přesměrovat.
Jo a úplně nejvíc nebezpečné bývá kombinovat VoIP s GSM bránami nebo ISDN. Tam se na to přijde později a ceny jsou ještě vyšší. U všech SIM co dáte do brány zakažte volání do zahraničí u operátora. Premium SMS a podobně jsou také bezpečnostní nesmysl i když zneužití není moc.
-
Počet pokusů se dá držet v paměti a není třeba ho nutně ukládat do DB. Docela dobře taky funguje vložení časové prodlevy už mezi žádost a odpověď. Po překročení limitu neúspěšných pokusů se pak vloží přiměřeně dlouhá mrtvá doba. Při dobré implementaci je to nenáročný na výkon a téměř dokonalý.
Poněkud drastická ale pro útočníka neočekávaná finta je odpovídat na všechny pokusy o SIP registraci jejích schválením (= 200 OK). Je to asi za hranicí rozumné implementace SIPu. Někdy ale účel (= dobrá ochrana proti podvodům) světí prostředky.
-
No on DOS a DDOS je trochu něco jiného (hlavně jiné cíle) než hádání hesla, případně jména i hesla. Útočník chce být nenápadný, abychom jej nezařízli firewallem nebo lepším nastavením ústředny a v klidu si zkoušet.
Ale hlavně, server který se na vše snaží odpovědět přetížíte snadněji než ten, který se po třetím pokusu přestane bavit a pokud to nepřestane ještě přidá pravidlo pro firewall.
